網絡安全現狀

隨著信息化的迅速發展，業務變得越來越開放和復雜，固定的防御邊界已經不復存在;網絡攻擊行為向著分布化、規模化、復雜化的趨勢發展，僅 僅依靠防火墻、入侵檢測、防病毒等單一的網絡安全防護技術，己不能滿足企業安全防護需求，迫切需要新的技術，及時發現網絡中的異常事件，實時 掌握網絡安全狀況。

WannaCry勒索病毒席卷全球

采用古代的城堡式的網絡安全體系已經不能適應新興木馬病毒的攻擊。勒索病毒主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡 劣、危害極大，一旦感染將給用戶帶來無法估量的損失。2018年3月，國家互聯網應急中心通過自主監測和樣本交換形式共發現23個鎖屏勒索類惡意程 序變種。

云環境面臨的安全風險

主機安全防護存在的挑戰

在應用云服務、軟件定義的基礎設施和移動計算后，您的系統安全嗎?
攔截和防御的“城墻”越壘越高，可是下一次的定向攻擊或持續攻擊，會不會再次繞過防火墻和基于黑白名單的預防機制?

傳統安全防御體系痛點

邊界模糊
網絡規模及網絡架構越來越龐大，多(duo)層面的網絡安全威(wei)脅和(he)安 全風(feng)險也在不斷增加，無法對業務系(xi)統(tong)進(jin)行深度防御.

資產難梳理
絕大多數企(qi)業缺乏自身數據資產的(de)清點信息，或者清點不夠(gou)全 面透徹，企(qi)業無法(fa)實時掌控數據資產的(de)全面情況.

安全檢測頻率低
安(an)全頻率太低，無法應對瞬息(xi)萬變(bian)的安(an)全內外(wai)環境，企業(ye)在 完(wan)成測試(shi)的下一秒，外(wai)部(bu)安(an)全形勢可(ke)能就會發生變(bian)化.

難溯源
發生安(an)全風險(xian)時，一般的日志或審計信息無(wu)法確定是(shi)人(ren)為(wei)因(yin)素(su) 或是(shi)系(xi)統自身因(yin)素(su)造成的，且(qie)無(wu)法對(dui)安(an)全事件(jian)進行(xing)溯(su)源和追責(ze).

無法聯動
采(cai)購的各廠商(shang)安(an)全產品無法進行有效(xiao)聯動形成縱深防御體系， 且硬(ying)件產品很(hen)難快速更迭(die)，很(hen)難適(shi)應最新的安(an)全攻擊特(te)點.

缺乏外部情報
難以形(xing)成(cheng)對資(zi)產變化(hua)、安(an)(an)全薄弱點和外(wai)部(bu)安(an)(an)全態勢的(de)聯(lian)動(dong)分 析和準確認(ren)知，更(geng)無法指導(dao)未來安(an)(an)全建設(she)的(de)實(shi)施推(tui)進(jin).

安全建設思路的轉變

面對傳統的基于流量或規則的檢測方式，已經無法檢測新型未知威脅或最新的網絡病毒;最合理的方案是企業要持續、動態地監控自身安全，并加 強快速分析和響應能力，最終做到安全工作清晰、可衡量。

自適應安全架構

自適應安全是Gartner首次在2014年提出的面向未來的下一代安全架構，理念源自Gartner對美國一線安全廠商未來發展調研;核心思想是從防御轉 向持續監控和分析。

主機自適應安全平臺

青藤主機自適應安全平臺，采用Gartner在2014 年提出的自適應安全架構，有效解決傳統專注防御的被動處境，為系統添加強大的實時監控和響應能 力，幫助企業有效預測風險，精準感知威脅，提升響應效率，保障企業安全的最后一公里。

助力等級保護2.0

平臺架構

青藤的核心平臺架構，主要由Agent，Server，Web 三部分構成，為產品服務提供基礎的、靈活的、穩固的核心能力支持。上層組件化產品模塊，采 用插件化的系統結構，實現功能的智能協同;底層的核心平臺架構，是下一代主機安全能力引擎。

資產清點

目標:實時掌握所有主機情況，快速搭建靈活有效的縱深防御體系。

自動化構建資產信息
通過安裝Agent，可(ke)在(zai)15 秒內，從正(zheng)在(zai)運行的環境中(zhong)，反(fan)向自動(dong)化(hua)構建(jian)主機業務資產結構，上報中(zhong)央管(guan)控平(ping)臺，集中(zhong)統(tong)一 管(guan)理;確(que)保安全覆蓋無死角。

資產變化實時通知
平臺在清點資(zi)產后，將保持(chi)對資(zi)產持(chi)續監控，保證(zheng)監控數(shu)據(ju)與實(shi)際業務(wu)數(shu)據(ju)一(yi)致(zhi);對一(yi)些需要特(te)殊關注(zhu)的敏感(gan)資(zi)產發生變(bian) 化，將提供(gong)實(shi)時(shi)或定時(shi)通知。

靈活快速檢索定位
參(can)考大量國外先進產(chan)(chan)品經驗，結合(he)通(tong)用(yong)安(an)全(quan)檢查規范(fan)與安(an)全(quan)事件的(de)數據需求，形成(cheng)細粒(li)度資產(chan)(chan)清點(dian)體系;利用(yong)多維(wei)度的(de)視 圖(tu)，引導(dao)用(yong)戶(hu)輕松獲(huo)得需要(yao)的(de)資產(chan)(chan)信(xin)(xin)息(xi);借(jie)助(zhu)多角(jiao)度的(de)搜索工(gong)具，幫(bang)助(zhu)用(yong)戶(hu)快(kuai)速(su)定(ding)位關鍵(jian)資產(chan)(chan)信(xin)(xin)息(xi)。

資產清點

• 結合通用安全檢查規范與安全事件數據需求，構建業務型資產對象
• 支持絕大部分主流操作系統，支持本地環境、虛擬環境、云環境等混合業務架構環境
• 作為數據支撐，已與平臺中的風險發現和入侵檢測系統全面關聯，實現一鍵查看

風險發現

目標:持續的進行風險檢查和修復，將風險控制在較低水平。

提高攻擊門檻
全面發現(xian)潛在(zai)風險(xian)及安全薄弱點，根據多維(wei)度的風險(xian)分析(xi)和精確的處理建議，用戶可及時處理重要(yao)風險(xian)以限制黑客接觸系 統(tong)、發現(xian)漏(lou)洞和執行惡意代碼。

企業風險可視化
持續性監測(ce)所有主(zhu)機(ji)的安(an)全(quan)狀況，圖(tu)形化展現企業風(feng)險場(chang)景，為安(an)全(quan)管(guan)理(li)者動態展示企業安(an)全(quan)指(zhi)標變化、安(an)全(quan)走勢分析， 使安(an)全(quan)狀況的改進清晰可衡量。

持續性監控分析
主動、持續性地監控所有主機(ji)上的軟件漏洞、弱密碼、應用風(feng)險、資產(chan)暴露性風(feng)險等，并結合資產(chan)的重(zhong)要程度進行風(feng)險分 析，準(zhun)確定位最急需處理的風(feng)險，幫助(zhu)企業快速有效解(jie)決潛在威脅。

風險發現

1. 全面系統脆弱性發現
   全方位檢測 IT 系統存在的脆弱性，發現信息系統存在的安全補丁、安全漏 洞、安全配置問題、應用系統安全漏洞，檢查系統存在的弱口令，收集系 統不必要開放的賬號、服務、端口，形成整體安全風險報告。
2. 白盒角度發現風險
   Agent 探針式的掃描機制，建立了自內而外的白盒視角。極低的誤報率精 準發現軟件漏洞、發現更多更全的弱密碼賬戶等。
3. 比傳統掃描器更快
   傳統的掃描器每次掃描均需要將遠程接入各級網絡，部署相對麻煩且不能 持續性掃描防護，而基于Agent 由內而外的掃描方式，一條命令即可一鍵 部署，部署成功后即可持續為企業安全保駕護航。
4. 資產數據自動關聯
   基于主機環境資產全面清點的基礎上進行的持續性風險掃描，能對主機環 境資產進行持續性防護。支持在發現了風險之后，一鍵查看對應的資產情 況，為風險的下一步處理提供有效信息。

入侵檢測

目標:實時監控系統異常操作行為，第一時間發現入侵行為。

實時發現失陷主機
通過(guo)多(duo)維度(du)的(de)(de)感知網絡疊加能力，對攻擊路徑的(de)(de)每個(ge)節(jie)點都進(jin)行(xing)監控，并提(ti)供(gong)跨平(ping)臺多(duo)系統的(de)(de)支持能力，保證了能實時(shi)發(fa) 現(xian)失陷主(zhu)機，對入侵(qin)行(xing)為進(jin)行(xing)告警。

發現未知黑客攻擊
結合專(zhuan)家(jia)經驗，威脅情報、大數據、機器學習等多種分析方法，通過對用戶主機環境的實時監控和(he)深度(du)了解，有效(xiao)發現包(bao) 括“0day”在內的各種未(wei)知黑(hei)客攻擊。

對業務系統“零”影響
Agent 以其輕量高(gao)效(xiao)的(de)特性，在(zai)保證對用(yong)戶(hu)(hu)主(zhu)機(ji)安全監控的(de)前提下，不對其業務(wu)系統產生(sheng)影響，為用(yong)戶(hu)(hu)的(de)主(zhu)機(ji)安全提供了 高(gao)效(xiao)可靠的(de)保護。

提供最準確的一線信息
在獨(du)有的資產管理能(neng)力支持(chi)下，我們不只能(neng)發現(xian)入(ru)(ru)侵，更能(neng)夠(gou)提供深入(ru)(ru)詳(xiang)細的入(ru)(ru)侵分析(xi)和響(xiang)應(ying)手段，從而讓用戶精準有效 地解決問題。

APT攻(gong)擊(ji)鏈發(fa)現的(de)設計思路——結合資產狀態和風險狀態，精準定(ding)位(wei)APT攻(gong)擊(ji)并實(shi)現預警。 青藤(teng)的(de)入侵檢(jian)測技術(shu)基于行為(wei)模型學習(xi)的(de)異常行為(wei)識別，通過設立特征錨點、分析(xi)行為(wei)模式、建立關系模型等手 段，幫助企(qi)業在第一(yi)時間發(fa)現入侵，并聯動(dong)其他功能模塊迅速做出(chu)響應處理。

部署方式

青藤云安全產品從部署的方式來看，具有“SaaS(軟件即服務)”服務模式和“獨立部署”自建模式。 “SaaS”模式適合公有云或能夠外網連接 的網絡環境客戶，“獨立部署”自建模式適合安全要求高內網部署的網絡環境客戶。

方案價值

1. 產品核心
   準確圈定保護范圍 -- 以業務端安全為核心，輕 量級、跟隨式保護，青藤Agents的CPU占用率 <3%，內存占用率<5%，穩定率高達99.998%
2. 適用環境
   適用于云環境、虛擬機和傳統IDC，可以隨著工 作負載的啟動自動加載
3. 超精細數據
   已涵蓋40,000多個軟件漏洞，10,000多個 WebShell規則，12,000多個Web漏洞， 100,000多種弱口令及組合，合規檢查相多達 11,000個。